PHPSnippets

[Tip] SQL Injection 공격 대응법

Written by munilive on 22 Oct 2011 (Updated: 14 Aug 2020)

PHP에서 SQL Injection 공격에 대하여 간단하게 대응 할 수 있는 방법을 팁으로 공유합니다.
여러 가지 방법이 있겠지만 아래의 방법 정도만 해주어도 기초적인 SQL Injection 공격은 막을 수 있습니다.

• 사용자가 입력하는 값은 모두 mysql_reql_escape_string()으로 감싸 처리한다.

• 사용자가 입력하는 값이 정수(숫자)일 경우 (int)로 자료형으로 캐스팅해서 사용한다.

   $Number = (int)$_POST[Number];
  

• $_SERVER 변수를 이용한 공격을 대비하여 REMOTE_ADDR, HTTP_REFERER, HTTP_USER_AGENT를 사용 할 때 mysql_real_escape_string()으로 감싸서 사용하기

   $remote_addr = mysql_real_escape_string($_SERVER[REMOTE_ADDR]);
   $http_referer = mysql_real_escape_string($_SERVER[HTTP_REFERER]);
   $http_user_agent = mysql_real_escape_string($_SERVER[HTTP_USER_AGENT]);
  

이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 4.0 국제 라이선스에 따라 이용할 수 있습니다.

Related Posts

PHPmysqlsnippetssqlsql injection

PHP : mysql_real_escape_string()

mysql_real_escape_string() PHP에서 SQL Injection 공격 등을 방어하기 위하여 특수 문자열을 이스케이프 하기 위한 함수이다. mysql_real_escape_string() 함수를 호출하면 \x00, \n, \r, \, ', ", \x1a와 같은 문자 앞에 \(역슬레시)를 붙여서 해당...

매주의 시작일을 일요일로 정하고 지난주 일요일과 토요일을 구해 오는 함수

매주 시작 요일을 일요일로 지정하고, 한주 시작(일요일)과 종료(토요일)에 대한 정보를 반환하는 함수입니다. 일자를 입력하면 해당 일자가 속한 주의 시작(일요일)과 종료(토요일)에 해당하는 날짜를 반환합니다. <?php $ymd = $_GET[ymd] ? $_GET[ymd] :...

배열에 담긴 모든 값을 urlencode 또는 urldecode 하기

웹사이트 작업을 하다 보면 배열에 값을 담아 넘겨줄 때가 있다. 한글 데이터도 보내고 url 등도 보내기도 하며 Javascript에서 사용하기 위하여 json 등으로 보내기도 한다. 이럴 때 한글, url등과 같은 특수...